未授权访问：ZooKeeper 未授权访问漏洞

目录
1、漏洞原理
2、情况搭建
3、未授权访问
防御本领

---

本日继续学习各种未授权访问的知识和相关的实操实行，一共有好多篇，内容主要是参考先知社区的一位大佬的关于未授权访问的好文章，另有其他大佬总结好的文章：
这里附上大佬的好文章链接：常见未授权访问漏洞总结 - 先知社区
我在这只是学习大佬总结好的相关的知识和实操实行，那么废话不多说，开整。
第八篇是关于ZooKeeper的未授权访问

1、漏洞原理

zookeeper是分布式协同管理工具，常用来管理系统配置信息，提供分布式协同服务。
Zookeeper的默认开放端口是2181。
Zookeeper安装部署之后默认情况下不需要任何身份验证，造成攻击者可以远程使用Zookeeper，通过服务器收集敏感信息大概在Zookeeper集群内举行破坏（比如：kill下令）。
攻击者能够实行全部只允许由管理员运行的下令。
2、情况搭建

1. #搭建环境
2. wget https://archive.apache.org/dist/zookeeper/zookeeper-3.4.14/zookeeper-3.4.14.tar.gz
3. tar -xzvf zookeeper-3.4.14.tar.gz
4. cd zookeeper-3.4.14/conf
5. mv zoo_sample.cfg zoo.cfg
6. ../bin/zkServer.sh start # 启动

复制代码

 启动Zookeeper

3、未授权访问

1. #获取该服务器的环境
2. echo envi|nc 192.168.159.202 2181

复制代码

可以看到成功的访问到了
使用zookeeper可视化管理工具举行毗连
下载地址：https://issues.apache.org/jira/secure/attachment/12436620/ZooInspector.zip

 可以看到成功的毗连了
防御本领

• 修改 ZooKeeper 默认端口，采用其他端口服务。
  
• -添加访问控制，配置服务来源地址限定策略。
  
• -增长 ZooKeeper 的认证配置。
  

到此Zookeeper未授权访问漏洞的基础知识就学习完了，后面另有很多的别未授权访问的知识等着我去学习，我们后面见(*^▽^*)

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。